Investigadores de Cybaze-Yoroi ZLab analizaron una nueva versión del malware AdvisorsBot, detectado por primera vez en agosto de 2018. Se distribuye a través de un correo electrónico que tiene adjunto un archivo malicioso llamado invoice.doc, que incita a la víctima a abrirlo, a través de técnicas de ingeniería social.
Una vez abierto, el documento solicita a los usuarios habilitar los macros que están ofuscados, para evitar la detección de los antivirus. Luego, el código de macro descarga una cadena de texto a través de un objeto WebClient, desde la consola de powershell. Finalmente, lo guarda con la extensión de archivo .png y lo ejecuta a través de "iex".
AdvisorsBot tiene la capacidad de recopilar información del sistema, de los programas instalados en el dispositivo y detalles de la cuenta de Office, entre otros. También puede tomar capturas de pantallas en el equipo infectado.
Se recomienda lo siguiente:
- Desactivar las macros de forma predeterminada.
- Nunca abrir un archivo adjunto en un correo, antes de asegurarse que viene de una fuente confiable.
- Mantener una buena estrategia de respaldo de información.
- No tener equipos con servicio de escritorio remoto, conectados directamente a Internet.
- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Actualizar los equipos con Windows y Office a las últimas versiones.
- Configurar de manera más estricta el anti spam.
El listado de las CVE se adjunta a continuación:
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 8.1 10 |